Administra tu Blog

¡Crea tu Blog Ya! Fácil y Gratis

Análisis de red con Wireshark. Interpretando los datos.

alfonn 14-02-2008 GTM 1 @ 14:32

Wireshark es una herramieta multiplataforma de análisis de red, producto de la evolución de Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Este artículo es fruto de varios correos que me han llegado sobre como interpretar los datos mostrados en una captura.

Relacionado:
Análisis de red con Wireshark. Interpretando Las graficas. (I Parte).

Si bien, el uso de Wireshark esta suficientemente documentado en la red, vamos a repasar muy superficialmente su uso para centrarnos después en como interpretar esos los capturados.

Comenzamos. 

Antes que nada, tras arrancar Wireshark, el menu Capture > Interfaces.... nos muestra la siguiente pantalla:

wireshark

Solo tendremos que pulsar en Start para capturar a través de la interface que nos interese. Inmeditamente Wireshark comienza a capturar.

El problema es que nos lo captura todo, todos los protocolos, etc:

Captura wireshark

Igual no nos interesa capturarlo todo. Queremos filtrar. Para filtrar podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma libreria libpcap.

Podemos filtrar a través de Capture Filter o usar el campo correspondiente:

filtros wireshark

Capturamos los paquetesde segmento TCP cuyo destino sea el puerto 34. Pero como ya hemos aprendido a usar filtros más avanzados, introducimos directamente el filtro de esta forma:

icmp[0:1] == 08 (en windump es sufciciente con un solo signo =)

Con lo que capturaríamos los icmp de tipo echo request.

O cualquiera de estos:

ip[9] == 1

tcp dst port 110

http contains "http://www.forosdelweb.com"

frame contains "@miempresa.es"

Con este último filtro capturamos todos los correos con origen y destivo al dominio miempresa.es, incluyendo usuarios, pass, etc.

En suma podemos usar cualquier tipo de filtro de los que usamos con Windump o TCPDump y alguno más propio de Wireshark. En otra ocasión nos centraremos en estos filtros y todas las nuevas posibilidades que nos ofrece wireshark. Ahora vamos a estudiar un poco la intrerpretación de los datos.

Tras una captura nos encontramos con esta salida:

Salida datos wireshark

Se establecen 3 zonas de datos. La primera es la zona de listado de los paquetes capturados con información del Numero de Frame, tiempo en segurdos de la captura, Origen, Destino, protocolo involucrado y por último un campo de información extra que previamente Wireshark a decodificado.

La segunda zona muestra los datos del Frame capturado. En este caso Frame 23 o captura 23 (las numera secuencialmente). nos da información de todos los protocolos involucrados en la captura:

En campo Frame nos muestra información completa de la trama capturada. Tamaño total, etc. A continuación Ethernet II que nos muestra la cabecera Ethernet II que a su vez pertenece a la capa de enlace de datos:

0000 00 04 75 ed 89 c3 00 14 22 5f a9 25 08 00

Nos muestra parte de la cabecer de la trama Ethener II, en este caso:

Destino 6 bytes 00 04 75 ed 89 c3 : MAC destino
Origen 6 bytes 00 14 22 5f a9 25 : MAC origen
Tipo 2 bytes 08 00 : protocolo que viaja en la parte de datos de la trama en este caso IP. 0x0800.

A continuación vemos Internet Protocol con los datos de la cabecera del datagrama IP:

0000 45 00 02 93 e1 8f 00 00 80 06 6f b2 d9 7e 4b de E.........o..~K.
0010 c0 a8 01 1e

Esto ya lo hemos estudiado aquí.

Después no escontramos con Transmission Control Protocol. (TCP):

0000 00 50 12 67 21 9e b2 a5 99 28 f1 c8 50 18 fd b2 .P.g!....(..P...
0010 f5 79 00 00 .y..

Se trata del Segmento TCP. Protocolo involucrado en esta captura. Lo hemos estudiado aquí.

Como ya hemos visto, tenemos información del Puerto de origen, destino, número de secuencia, etc.

Y para finalizar tenemos TCP Segment Data, con todo el contenido del campo Data del segmento TCP.

wireshark Segment Data

Interpretación de errores y anomalias en la red con Wireshark

Uno de los usos más importantes que podemnos aplicar a Tshark / Wireshark es el análisis de nuestras conexiones y la detección de posibles problemas en la transmisión de paquetes. La pérdida de paquetes y/o conexión es uno de estos problemas. Vamos a estudiar en esta ocasión como detectar está pérdida de paquetes.

Pulsa aquí para ver este artículo.

-----------------------------------------------------------------------

Otros artículos relacionados con Wireshark y la interpretación de los datos en este Blog:

En el próximo artículo dedicado a wireshark nos centraremos exclusivamente en los Filtros de Wireshark.

Tags:
MeneameMeneame | del.icio.us

Comentarios(41) »

  1. Gerardo Marciales — 16-03-2008 - 22:41:52 GMT 1

    Saludos, me gustaria saber como puedo analizar todo el trafico de una IP especifica de mi LAN, necesito saber todos los puertos que utiliza nuestro equipo ATA.

    Gracias.

  2. alfon — 17-03-2008 - 18:30:58 GMT 1

    En Filtos introduces lo siguiente:
    ip.addr == xxx.xxx.xxx.xxx Con esta notación le decimos a wireshark que capture todos los paquetes con origen y destino con esa IP.
    ip.scr == xxx.xxx.xxx.xxx Capturar con esta IP como origen.
    ip.dst == xxx.xxx.xxx.xxx con esta última notación capturamos los paquetes con esa IP de destino. Podemos usar también el operador != (que no sea igual a).
    También podemops usar filtros que en vez de especificar IP, especifique direcciones Ethernet: eth.dst == ff:ff:ff:ff:ff:ff.

    También lo operadores lógicos:
    ip.scr==80.x.x.x or ip.src==200.80.x.x.

    Saludos,

  3. Raul Cereseto — 06-04-2008 - 15:18:48 GMT 1

    Estimado Alfon:

    Me pregunto si podríamos aprovechar tus brillantes conocimientos sobre redes, para que nos ilustres sobre como detectar la puerta de enlace con Wireshark.

    En otras palabras, mejorar el útil pero algo intuitivo informe que se exhibe en el siguiente link:

    http://www.zero13wireless.net/foro/showthread.php?t=4054

    Desde ya, muchas gracias por anticipado

    Raul

  4. alfon — 07-04-2008 - 09:58:44 GMT 1

    Hola Raul,

    Gracias por los halagos. Poco más que añadir. Me parece correcto, solo que no hace falta añadir las columnas Hardware src addr y Hardware dest addr. En la zona de Frame capturado, el apartado Cabecera Ethernet II nos muestra esa información, eso si, activando las opciones en Name Resolutions.

    saludos,

  5. Maria — 11-04-2008 - 08:45:34 GMT 1

    Hola Alfon!!!
    Tengo un problemita.... estoy trabajando con wireshark, me interesa detectar un tipo determinado de tramas que no esta incluido en el wireshark. Para ello estoy programando en c un disector (un plugin, vamos). Lo que no se, es como enlazar el archivo en c con el programa wireshark.
    No lo veo en ningun tutorial.
    Gracias de antemano.

  6. alfon — 11-04-2008 - 13:59:00 GMT 1

    Hola María,

    No lo hagas con wireshark. Te será más facil hacerlo con windump o directamente usando las librerías pcap.

    Saludos,

  7. Maria — 21-04-2008 - 11:15:33 GMT 1

    Tu solución seria ideal el problema es que debo hacerlo en wireshark. Si tienes alguna sugerencia te lo agradeceria.
    Saludos

  8. alfon — 21-04-2008 - 11:44:19 GMT 1

    Estimada María,

    Wireshark tan solo es un front con unas caraterísticas específicas para capturar packetes, interpretarlos, analizar y realizar estadísticas. Pero siempre usando libpcap. Era por eso mi recomendación. Al ser un programa de interfaz gráfico, poco te queda para integrarlo en unas líneas de programación. Aún así, wireshark puede ser usado por línea de comandos:
    http://www.wireshark.org/docs/wsug_html_chunked/ChCustCommandLine.html
    http://www.wireshark.org/docs/wsug_html_chunked/AppTools.html

    Saludos,

  9. Guerrero — 27-04-2008 - 12:08:39 GMT 1

    Muchas gracias por ayudarnos a todos a entender esta herramienta. Me gustaría saber si es posible obtener el pass de acceso a un router, por ejemplo filtrando por http a traves de la puerta de enlace, y cómo se obtendría, si en texto plano y visible a primera vista, o cifrado. Gracias

  10. alfon — 29-04-2008 - 18:00:09 GMT 1

    Estimado Guerrero,

    Depende de la posición de Wireshark, del protocolo que se use para conectar con el router, etc. Si conectas desde dentro a través de telnet es muy facil. Solo tendrás que filtrar las conexiones al puerto 23 em el filtro display de la forma tcp.port == 23 y listo. eliges una conexión y haces un follow tcp y stream y veras el pass.
    Saludos,

  11. alfonn — 30-04-2008 - 17:10:11 GMT 1

    Estimada María,

    Wireshark si puede ser usado en línea de comandos siendo así más facil para usarlo en programación en C. Se trata de Tshark. EStoy terminando un pequeño artículo para tratar el tema. Aún así entiendo que es mejor ir directamente a las librerias pcap. También hablaremos de ello próximamente.
    Saludos,

  12. javier — 10-05-2008 - 23:35:44 GMT 1

    Saludos

    como puedo ver cuanto ancho de banda esta consumiendo cada ip por el wireshark

  13. alfon — 12-05-2008 - 09:01:13 GMT 1

    Estimado Javier,

    Guarda las capturas con -w nombrearchivo.cap. Usa capinfos con el archivo .cap. Con este programa podrás ver estadísticas lo más apreceidos a ancho de banda.

    Saludos,

  14. Carlos — 10-06-2008 - 23:10:14 GMT 1

    Estimado Alfonso, buen aporte y gracias por ayudarnos a comprender el uso e interpretacion de los datos que nos genera el sniffer Wireshark. Actualemente me solicito el gerente del area de donde trabajo monitorear la red, por que ve que algunos usuarios se estan conectando ya sea a internet o al msn y necesito saber como lo estan haciendo, seria tan amable de decirme como monitoreo a los usuario del msn y como se conectan. gracias la red es 192.168.25.0.

  15. alfon — 11-06-2008 - 08:07:31 GMT 1

    Estimado Carlos,

    Gracias por tus comentarios.
    sobre el tema, me gustaría saber algo sobre tu red. Si usas Firewall/proxy, y usas hub o es una red conmutada, etc.
    Puedes capturar el tráfico MSN con el display -R "msnms". De esta forma sabrás también quien se conecta. Te responde el resto cuando em des algúndetalle más.
    Saludos,

  16. Joelo — 20-06-2008 - 17:14:37 GMT 1

    hola gracias por las explicaciones la verdad es muy util este sniffer
    una pregunta como puedo saber quien esta usando p2p en mi red como pòr ejemplo
    ares limeware emule, etc
    te lo aradezco en verdad gracias

  17. alfon — 23-06-2008 - 12:11:34 GMT 1

    Estimado Joelo,

    tienes ya un artículo al respecto sobre tus didas.

    saludos,

  18. Maki — 23-06-2008 - 18:32:15 GMT 1

    Buenas, yo tengo una duda.
    Uso Ubuntu y me he bajado el Wireshark. Empiezo a sniffar mi red y veo los paquetes que me llegan, HTTP, TCP, MSNMS e incluso puedo ver las conversaciones de msn que estoy teniendo filtrando el protocolo MSNMS, pero eso no es lo que me interesa.
    Quiero ser capaz de hacer todo eso pero usando el trafico de toda la red, no solo el que viene a mi ordenador.
    He leido sobre eso y decian que habia que poner la tarjeta WiFi en modo monitor.
    La he puesto y empece a capturar con el Wireshark pero no me aparece lo mismo que antes, me vienen infinidad de paquetes Broadcast, WLAN, etc. Nada de HTTP o MSNMS.
    Que hago mal?
    Gracias :-)

  19. alfon — 25-06-2008 - 10:29:28 GMT 1

    Estimado Maki,

    No hace nada mal. Es lo corrento según la tipología de red y red conmutada. Todo depende de la ubicación del sniffer y si la red es (switch) o no conmutada (hub).

    Te contesto en un post que estoy escribiendo.

    saludos,

  20. Alejandro — 03-07-2008 - 23:46:35 GMT 1

    hola alfon, se pueden capturar paquetes remotos por ejemplo de una ip lejana incluso fuera de mi pais con ethereal? es posible esto? He ledio que se puede hacer con la ayuda de algun software como shell ojala y puedas responder gracias saludos

  21. juan — 21-07-2008 - 19:09:28 GMT 1

    alguien sabe si puedo usar el sw para colgarme a redes wifi cercanas a mi casa, la verdad solo me conectaria por las noches que es cuando estoy en casa y quiero ver si me puedo colgar de la de algun vecino cercano, jeje. saludos.

  22. jhon smith — 10-08-2008 - 03:43:44 GMT 1

    hola alfon
    quisiera preguntarte como decodifico mi pass de hotmail con el wireshark
    pss me esnifeo yo solo y hago la captura pero noencuentro mi pass no se ve en tcp strem lo hago con fines de aprendisaje en pss busco certificarme en seguridad

  23. ANdres — 19-08-2008 - 15:58:16 GMT 1

    hola mi pregunta es como puedo hacer para detectar los dhcp que esten en mi red, es que parece ser que hay uno dchp suplantando al otro... Muchas gracias...saludos

  24. Alex — 20-08-2008 - 03:29:59 GMT 1

    Hola compadre, tengo un juego on line llamado helbreath que me gustaria hackear los items y otras cosas, me recomendaron este programa, si conoces del tema me gustaria oirlo. saludos!

  25. Ado — 25-09-2008 - 14:04:19 GMT 1

    Hola, primero muchísima gracias por tu blog. De verdad muy útil y comprensible también para un novato como yo.

    Discúlpame si te repito la pregunta de Javier... "como puedo ver cuanto ancho de banda esta consumiendo cada ip por el wireshark" ...pero en windows y en tiempo real.

    actualmente usa el wireshark monitoreando un port mirror del router y visualizando el listado de los endpoints- solapa IPv4 (del menu de las estadísticas) ordenados por Rx Bytes decrecientes ... pero no habrá un sistema más eficiente?

    gracias

  26. diego — 18-11-2008 - 08:41:20 GMT 1

    hola alfon me parece un muy gran aporte
    tu tutorial e pasado horas revisando manuales para comprender como es masomenos el mundo del snifing y el tuyo me a dejado muchas cosas claras ahora mi pregunta es: el wireshark es efectivo en redes inalambricas y si es posible acceder acceder al user y pass de un router ?

    de antemano muxas gracias

  27. gonzalo — 19-11-2008 - 16:02:42 GMT 1

    Hola alfon me parecio muy instructivo tu blog, la verdad no se nada de redes pero quiero aprender, mi pregunta es: ¿como saber que puertos estan libres? (con el wireshark) pues uso el ultrasurf para conectarme a internet sin ninguna limitacion, pero hace un tiempo la red se ah vuleto lenta y me parece que es porque hay varios en mi trabajo que se conectan a internet por el mismo programa y usando el mismo proxi y el mismo puerto. anticipadamente gracias.

  28. Roberto — 26-11-2008 - 21:04:02 GMT 1

    Hola Alfon: Muchas felicidades por tu blog es de gran ayuda para quienes navegamos en busca de conocimiento y ayuda, una consulta tengo problemas de colision en mi red y no se como ubicar quien o q me causa este problema, he bajado el Wireshark pero no me ubico muy bien todavia, haber si me das una manillo.

    Muchas gracias y sigue pa adelante

  29. lucho — 07-12-2008 - 14:28:47 GMT 1

    Hola alfon, yo tengo una duda estoy tratando de detectar un ip de un servidor privado de un juego y trate de hacerlo por xml pero no pude osea se como hacerlo pero no tiene el data el juego entonces estoy tratando de hacerlo por aka sera que podrias hecharme una mano, ? muchas gracias

  30. Martin — 08-12-2008 - 19:02:15 GMT 1

    con este programa, puedo saber que paginas se visitan y que es lo que se estan descargando...
    tmb queria saber si con ello puedo cerrar las paginas o cancelarles que entren de nuevo o descarguen...

    tengo una red local, que esta en proceso la instalacion de un servidor...

    y me estan alentando el internet y no hay otra manera de tener un cointrol...

    gracias.. por sus ayuda

  31. luis zamora — 22-01-2009 - 03:27:13 GMT 1

    hola Alfon realmente tienes conocimientos muy amplios, por el momento tengo un problema a tu altura me gustaria puedieras ayudarme, dejo mi correo espero puedas contestarme y explicarte a q se refiere

  32. cesar sanhueza — 27-03-2009 - 00:21:45 GMT 1

    estimado.-
    necesito realizar un monitoreo de una red que contiene equipos con ip, la idea es poder chequear cuando alguno equipo se ha caido. se puede hacer un historial con aquellas ip caidas.-

  33. juan l. — 06-04-2009 - 20:42:16 GMT 1

    hola,

    Tengo instalado wireshark bajo linux y soy totalmente novato en estos temas. Me gustaría saber si desde mi portátil puedo ver los otros equipos de mi red wifi (estoy conectado a ella por wpa), ya que sólo veo lo que hago yo.

    No quiero crackear nada, solo ver que con wineshark a donde van los otros equipos de la web (2 fijos y otro portátil).

    Muchas gracias.

    Un saludo

  34. flavio — 11-04-2009 - 04:17:27 GMT 1

    hola una pregunta puntual, he usado el wireshark para analizar el trafico en la lan pero solo he podido ver el mio propio, por ke es esto y ke puedo hacer para ver el trafico de otras ip? las otras ip tambien estavan generando trafico obviamente, gracias

  35. Gustavo Rojas — 16-04-2009 - 05:11:19 GMT 1

    hola!!!

    supe bueno tu reporte de wireshark

    necesitaba aprender a usarlo para una tarea y ahora estoy mucho mas claro

    gracias men adiozzzzzzzz!!!

    ;)

  36. alfonso adarme — 18-04-2009 - 18:09:45 GMT 1

    buenas tardes,, tengo una preguntica de principiante: CON ESTA HERRAMIENTA PUEDO MEDIR LA TRANSFERENCIA DE ARCHIVOS ENTRE DOS PC¨s. ES DECIR, PUEDO MEDIR EL THROPGHUTS???

  37. alfonso — 02-05-2009 - 17:43:57 GMT 1

    hola, es posible con el wiresshark poder medir la transferencia de paquetes FTP usando una red local de dos PC´s??

  38. IVAN RODRIGUEZ — 26-06-2009 - 00:11:41 GMT 1

    hola, quisiera saber si me puedes ayudar a identificar en dos capturas que tengo con wireshark, una de transmision con ipv4 y otra con ipv6 para demostrar que ipv6 ofrece seguridad a nivel de red y que ipv4 no?
    agradezco tu ayuda

  39. Christian Gutierrez — 31-07-2009 - 18:57:15 GMT 1

    Buenas Tardes
    Espero te encuentres bien el mismo es para saber como puedo realizar o que comdando utilizar para realizar un analisis de mi red es decir me explico mejor tengo una red la cual los usuarios se descargan las cosas Via Http ya que por router tenemos bloqueado los puerto de los p2p pero no estamos exentos de las descargas o streaming que realicen y me gustaria saber esos comandos y si pueden ser mostrados en la consola los ip de estas personas de antemano muchisimas gracias

    Christian gutierrez
    Programador-Web
    Caracas Venezuela

  40. Luis Orellana — 03-08-2009 - 02:40:17 GMT 1

    necesito ayuda, verifique le trafico de una red en mi trabajo con este programa wireshark, pero no se interpretar los significados que sale en su monitoreo, favor alguien me puede ayudar, mi correo es luis.orellana.castro@gmail.com, se agredece de antemano su ayuda,

    saludos
    Luis Orellana

  41. asgr — 24-09-2009 - 22:32:30 GMT 1

    Hola a todos muy interesante la pagina les contare que hya muchas cosas k me faltan aprender pero mi curiosidad es como ver las conversaciones con el wireshark pork me hablan de que si se puede con el protocolo msnms, muy aparte de mi pregunta y spero su ayuda inmediata les dire k si se a lo k se llama hackear redes, pues primero hago un scaneo de las redes luego saco dejo k desencripte los paquetes necesarios y e leido k siempre es neceario unos 80.0000 peor en mi caso solo lo hago con 30.000 arp hasta a veces menos y bueno uso el wifislax 3.1 y solo asi saco la clave de la red k stoy hackeando esto me sirve para poder sacar el ip de la red ps sabemos k no siempe todos tienen el 192.168.1.1 el comando en wifi para sacar la clave es con aircrack-ptw y para los ip con airdecap la clave y la ruta con el nombre k guarde al en mi caso seria airdecap + la clave + la ruta nombre.cap
    luego pongo el wireshark y me sale como ya sabran todo lo k te lee el wireshark espeor ayuda a mi pregunta como ver las conversaciones con el wireshark, me gustaria hacerlo en windows hasta ahora no lo he bajado ya que el wifislax tiene incluido el wireshark pero lo trabajo bajo el sist. op. limux de ante mano gracia spor su ayuda

TrackBack URI

Dejar un Comentario


<a href> <em> <blockquote> <strong> <cite> <code> <ul> <li> <dl> <dt> <dd>